Nilai Bill of Material Perangkat Lunak (SBOM)

Diterbitkan: 2023-11-28

Jika Anda berpikir sejenak tentang keamanan rantai pasokan selama setahun terakhir, Anda mungkin akrab dengan istilah “Software Bill of Materials,” yang disingkat menjadi SBOM. Dalam bentuknya yang paling sederhana, SBOM dapat dibandingkan dengan daftar bahan perangkat lunak; namun, secara nyata, ini jauh lebih canggih.

Di perusahaan-perusahaan yang digerakkan secara digital saat ini – dengan ketergantungan yang tinggi pada pengecer perangkat lunak, alat sumber terbuka, dan aplikasi label putih – pentingnya memiliki daftar bahan perangkat lunak tidak dapat dilebih-lebihkan.

Mendefinisikan SBOM: Apa yang dimaksud dengan Software Bill of Materials (SBOM)?

Bill of material perangkat lunak adalah daftar komponen dasar (seperti sumber daya kode) yang digunakan untuk membangun suatu produk. Ini menawarkan informasi dan detail yang dapat dibaca mesin yang menguraikan hubungan antara berbagai elemen perangkat lunak dalam rantai pasokan Anda.

SBOM pada dasarnya adalah tentang integritas “materi” digital yang digunakan, dengan fokus pada kepercayaan dan keamanan. Mereka dapat mengidentifikasi komponen-komponen yang menyusun suatu perangkat lunak, dari mana file-file ini berasal, bagaimana file tersebut dibuat, dan apakah file-file tersebut ditandatangani dengan aman oleh individu yang tepercaya.

SBOM adalah alat yang dapat digunakan oleh pengembang perangkat lunak dan konsumen untuk menumbuhkan kepercayaan dan kredibilitas dalam siklus hidup pengembangan dan distribusi perangkat lunak.

Gartner memperkirakan bahwa pada tahun 2025, 60% organisasi yang mengembangkan atau melakukan pengadaan perangkat lunak untuk infrastruktur penting akan diwajibkan menggunakan SBOM, sebuah peningkatan tajam dari kurang dari 20% pada tahun 2022. Mari kita lihat alasannya, dan apa tepatnya nilai dari tagihan perangkat lunak bahan.

SBOM dan Keamanan Cyber: Mengapa Mempertahankan Perangkat Lunak Bill of Materials Sangat Penting

Baik di sektor publik maupun swasta, serangan siber kini menjadi hal biasa. Pada paruh kedua tahun 2022, jumlah intrusi terhadap sektor pemerintah melonjak sebesar 95% jika dibandingkan periode yang sama tahun 2021.

Dampak serangan siber terhadap ekonomi global diperkirakan akan meningkat secara dramatis dari $8,44 triliun pada tahun 2022 menjadi $23,84 triliun pada tahun 2027.

Itulah sebabnya perusahaan, kelompok advokasi keamanan siber, dan bahkan pemerintah mendorong SBOM sebagai bagian penting dari infrastruktur digital – dan bukan sesuatu yang bagus untuk dimiliki.

Faktanya, Perintah Eksekutif AS (EO) 14028 mulai Mei 2021, berjudul “Meningkatkan Keamanan Siber Bangsa,” mengamanatkan penggunaan SBOM untuk meningkatkan keamanan database federal AS. Hal ini menjadikan bill of material perangkat lunak wajib bagi penyedia perangkat lunak mana pun yang bekerja dengan lembaga pemerintah.

Pada akhirnya, jika perusahaan tidak mengetahui apa yang ada di dalam perangkat lunak mereka, mereka tidak dapat sepenuhnya memahami atau menilai risiko yang ditimbulkannya terhadap perusahaan atau calon pelanggan di sektor hilir.

Kasus Penggunaan SBOM

Selain memberi Anda visibilitas terhadap perangkat lunak pihak ketiga, sehingga memudahkan Anda mengatasi serangan rantai pasokan, tagihan material perangkat lunak membantu dalam:

  1. Memperkuat hubungan vendor-pembeli

    Baik pengembang perangkat lunak maupun penggunanya harus memiliki keyakinan terhadap perangkat lunak yang mereka gunakan. Metadata yang terkandung dalam SBOM dapat digunakan oleh individu untuk memverifikasi integritas perangkat lunak dan dengan cepat mengenali komponen yang salah atau rentan yang dapat berdampak pada sistem dan proses mereka.

    Demikian pula, SBOM dapat menyoroti langkah-langkah keamanan yang perlu diambil oleh pengembang perangkat lunak untuk menciptakan perangkat lunak yang aman dan canggih.

  2. Melakukan analisis kerentanan yang lebih komprehensif

    Perusahaan dapat memeriksa komponen SBOM untuk mengetahui kerentanannya. Jika ada masalah, mereka juga akan mempertimbangkan ketergantungan mana yang harus diperbaiki. Kerentanan adalah cacat yang dapat dieksploitasi oleh pelaku jahat yang ingin merusak perangkat lunak atau membahayakan sistem yang dijalankannya.

    SBOM dapat memastikan bahwa perangkat lunak yang digunakan diperbarui secara berkala dan dalam versi terbaru. Jika tidak, Anda dapat melakukan analisis risiko hanya pada komponen yang sudah ketinggalan zaman daripada membuang sumber daya untuk meninjau perangkat lunak secara keseluruhan.

  3. Memberikan perangkat lunak berkualitas lebih baik

    Seperti kata pepatah lama, “Katakan apa yang Anda lakukan, lakukan apa yang Anda katakan” Dengan cara yang sama, tindakan membuat dan mengevaluasi SBOM biasanya membantu pengembang dalam menentukan apakah pembuatan perangkat lunak benar-benar berada pada kondisi paling optimal.

    Apakah konsisten dan dapat diulang? Apakah SBOM yang dihasilkan mencerminkan keyakinan para insinyur yang terkandung dalam perangkat lunak? Atau, apakah ada jurang? Kebanyakan generator SBOM mengungkap setidaknya beberapa item tentang perangkat lunak yang tidak diketahui oleh vendor, sehingga memungkinkan mereka meningkatkan kualitas perangkat lunak dan hanya menerbitkan versi terbaik.

  4. Meningkatkan pengambilan keputusan untuk pengadaan

    Penggunaan SBOM yang ditawarkan oleh penyedia perangkat lunak pihak ketiga memungkinkan manajer pengadaan membuat keputusan pembelian perangkat lunak yang lebih tepat. Dengan bill of material perangkat lunak, spesialis pengadaan TI dapat memahami perangkat lunak untuk mengetahui fungsinya sebelum membeli.

    Jika SBOM tidak tersedia sebelum pembelian, Anda dapat memanfaatkan kasus penggunaan ini dalam jangka waktu yang wajar setelah pembelian – sebelum penguncian vendor dapat dilakukan – dan beralih penyedia jika perlu.

  5. Membangun sistem perusahaan yang dapat dioperasikan

    Arsitek perusahaan bertugas membangun kerangka teknologi perusahaan. Seperti halnya seorang arsitek bangunan, menyusun tumpukan teknologi akan jauh lebih mudah jika Anda memahami setiap elemen sumber daya yang ada. Hal ini terutama berlaku untuk merger dan akuisisi, di mana arsitek tidak memiliki visibilitas penuh terhadap asal usul, kemampuan, dan keterbatasan perangkat lunak.

  6. Memperkuat respons terhadap insiden keamanan

    SBOM dapat berfungsi sebagai validasi atas temuan dan rekomendasi kejadian – sebuah indikator arah mengenai apa yang salah. Sebagai bukti pendukung, SBOM membantu dalam penyelidikan insiden dan penilaian dampaknya pada sistem yang bersamaan atau versi sistem sebelumnya.

    Selama dan setelah kejadian, SBOM juga dapat memfasilitasi interaksi antara kolaborator, kelompok yang terkena dampak, dan pelanggan.

    Memvalidasi bahwa konten yang dihitung oleh SBOM cukup akurat pada saat disebarluaskan dan tidak ada kerentanan yang teridentifikasi atau belum terselesaikan merupakan penerapan lebih lanjut dari SBOM dalam manajemen respons insiden.

    Hal ini dapat mengurangi risiko dan tanggung jawab hukum bagi perusahaan yang menghadapi pelanggaran data atau insiden dengan tingkat keparahan yang sama.

Pertimbangan Perusahaan dalam Menggunakan SBOM: Cara Memaksimalkan Nilainya

Merupakan tanggung jawab vendor untuk merakit, memformat, dan melengkapi daftar bahan perangkat lunak yang lengkap untuk Anda gunakan. Namun, memperoleh SBOM saja tidak cukup; perusahaan memerlukan strategi tata kelola untuk mengarahkan SBOM ke kasus penggunaan yang paling berharga.

  1. Ketahui vendor mana yang akan mengirimkan permintaan SBOM

    Karena sumber daya umumnya memiliki batas penggunaan yang tetap, Anda perlu memulai dengan analisis dampak bisnis untuk menentukan penyedia layanan paling penting dan solusi perangkat lunak Commercial Off The Shelf atau COTS.

    Untuk beberapa bisnis dengan standar keamanan yang ketat, semua vendor yang memiliki pengaruh apa pun terhadap data organisasi akan diminta untuk menyerahkan SBOM. Bagi pihak lain, mungkin hanya sebagian dari penyedia layanan utama yang perlu menjadi bagian dari proses ini.

    Penting juga untuk dipertimbangkan adalah tingkat keahlian vendor Anda. Vendor korporat yang sudah mapan akan lebih siap memberikan apa yang Anda butuhkan jika dibandingkan dengan perusahaan rintisan yang suka berkelahi.

  2. Tentukan irama pembaruan SBOM dan gunakan otomatisasi

    Keteraturan penyampaian SBOM juga penting untuk dipertimbangkan. Di industri tertentu, pelanggan mungkin memerlukan pembaruan setiap kali perangkat lunak diperbarui.

    Hal ini dapat terjadi terus-menerus – setiap jam atau setiap hari – untuk platform SaaS, namun tingkat frekuensi ini akan membebani vendor dengan tugas pengumpulan dan pengiriman data SBOM. Biasanya, lebih baik meminta “sekilas atau cuplikan” produk SBOM pada interval yang dijadwalkan (setiap hari, setiap versi baru, dll.).

    Verifikasi apakah kontrak Anda mencakup Perjanjian Tingkat Layanan (SLA) resmi untuk pengiriman SBOM.

  3. Tetapkan alur kerja pertukaran SBOM dan kontrol versi

    Kotak surat yang berisi file JSON dan XML adalah cara yang tidak efektif untuk mengelola data. Minimal, organisasi memerlukan metode terstruktur untuk memantau dan mengawasi versi setiap SBOM.

    Idealnya, Anda memerlukan sistem yang dapat menyerap, memecahkan kode, dan mengevaluasi informasi yang terkandung. Data SBOM dapat diserap oleh platform seperti Anchore dan Mend.io untuk mengirimkan peringatan otomatis dan melakukan analisis keamanan otomatis, serta fitur-fitur lainnya.

Langkah selanjutnya

Untuk lebih memperkuat protokol keamanan organisasi Anda, hubungkan SBOM dengan alat administrasi kerentanan. Misalnya, pemindai aplikasi atau kontainer dapat menggunakan data SBOM untuk mencari kerentanan dan risiko yang diketahui.

Seiring dengan meningkatnya frekuensi serangan siber, keamanan rantai pasokan kini menjadi pertimbangan penting bagi semua bisnis. Bill of Materials Perangkat Lunak (SBOM) adalah alat yang sangat bermanfaat yang membantu organisasi mengidentifikasi dan memantau komponen perangkat lunak. Hal ini juga membuat pengguna mengetahui sepenuhnya potensi masalah keamanan atau efisiensi.

Selanjutnya, kembangkan strategi SBOM Anda dengan wawasan terbaru Splunk tentang Keamanan yang Melampaui Kepatuhan . Jika Anda senang membaca artikel ini, bagikan di media sosial dengan mengklik tombol Facebook, Twitter, atau LinkedIn di atas!